Brüssel, 11. Februar – Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben eine gemeinsame Stellungnahme zum Vorschlag für eine Verordnung über digitale Omnibusse verabschiedet. Dieser Vorschlag zielt darauf ab, den digitalen Rechtsrahmen der EU zu vereinfachen, den Verwaltungsaufwand zu verringern und die Wettbewerbsfähigkeit europäischer Organisationen zu verbessern.

Der EDSA und der EDSB konzentrieren sich auf die Aspekte der DSGVO, der EU-DSVO, der Datenschutzrichtlinie für elektronische Kommunikation und des Besitzstands im Bereich der Datenverarbeitung. Insbesondere bewerten sie, ob der Vorschlag zu einer echten Vereinfachung führt und die Einhaltung erleichtert, mehr Rechtssicherheit schafft und die Grundrechte des Einzelnen beeinträchtigt.

Änderungen, die Anlass zu erheblichen Bedenken geben

Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können.

Der EDSA und der EDSB fordern die beiden gesetzgebenden Organe nachdrücklich auf, die vorgeschlagenen Änderungen an der Definition personenbezogener Daten nicht anzunehmen, da sie weit über eine gezielte oder technische Änderung der DSGVO hinausgehen. Darüber hinaus spiegeln sie nicht genau wider und gehen eindeutig über die Rechtsprechung des EuGH hinaus, und sie würden dazu führen, dass der Begriff der personenbezogenen Daten erheblich eingeschränkt würde. Der Europäischen Kommission sollte nicht die Befugnis übertragen werden, im Wege eines Durchführungsrechtsakts zu entscheiden, was nach der Pseudonymisierung keine personenbezogenen Daten mehr sind, da sich dies unmittelbar auf den Anwendungsbereich des EU-Datenschutzrechts auswirkt.

„Eine Vereinfachung ist für den Bürokratieabbau und die Stärkung der Wettbewerbsfähigkeit der EU von entscheidender Bedeutung, jedoch nicht zulasten der Grundrechte. Wir begrüßen die Schritte der Kommission zu mehr Harmonisierung, Kohärenz und Rechtssicherheit. Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

EDSA-Vorsitzender, Anu Talus

„Wir fordern die beiden gesetzgebenden Organe nachdrücklich auf, die vorgeschlagenen Änderungen an der Definition personenbezogener Daten nicht anzunehmen. Diese Änderungen stehen nicht im Einklang mit der Rechtsprechung des Gerichtshofs und würden den Begriff der personenbezogenen Daten erheblich einschränken. Wir müssen sicherstellen, dass alle Änderungen der DSGVO und der EU-DSVO tatsächlich Verpflichtungen klarstellen und Rechtssicherheit schaffen, während gleichzeitig das Vertrauen und ein hohes Maß an Schutz der Rechte und Freiheiten des Einzelnen gewahrt bleiben.“

Europäischer Datenschutzbeauftragter, Wojciech Wiewiórowski

Schritte in die richtige Richtung

Der EDSA und der EDSB befürworten die Anhebung des Risikoschwellenwerts, der dazu führt, dass eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, und die Verlängerung der Frist für die Übermittlung einer solchen Meldung. Dies würde den Verwaltungsaufwand für Organisationen erheblich verringern, ohne den Schutz personenbezogener Daten zu beeinträchtigen. Darüber hinaus sind die vorgeschlagenen gemeinsamen Vorlagen und Listen für Datenschutzverletzungen und Datenschutz-Folgenabschätzungen positiv.

Der EDSA und der EDSB begrüßen auch die vorgeschlagene Einführung einer neuen Ausnahmeregelung für die Verarbeitung besonderer Kategorien von Datenfür die biometrische Authentifizierung, wenn die Überprüfungsmittel unter der alleinigen Kontrolle der Person stehen.

Schließlich unterstützen sie die Harmonisierung des Begriffs „wissenschaftliche Forschung“und andere damit zusammenhängende Änderungen, da sie die Rechtssicherheit erhöhen und zu einer stärkeren Harmonisierung beitragen.

Änderungen, die einer Feinabstimmung bedürfen

Wie in der Stellungnahme 28/2024 des EDSA zu KI-Modellen dargelegt, kann in einigen Fällen ein berechtigtes Interesse als Rechtsgrundlage im Zusammenhang mit der Entwicklung und Einführung von KI-Modellen oder -Systemen herangezogen werden. Daher halten es der EDSA und der EDSB nicht für erforderlich, eine spezifische Bestimmung dazu in die DSGVO aufzunehmen.

Der EDSA und der EDSB begrüßen das Ziel des Vorschlags, eine spezifische Ausnahme vom Verbot der Verarbeitung sensibler Daten unter Auflagen einzuführen, die die zufällige und verbleibende Verarbeitung solcher Daten im Zusammenhang mit der Entwicklung und dem Betrieb von KI-Systemen oder -Modellen umfasst. Sie empfehlen jedoch mehrere Verbesserungen, wie die Klärung des Anwendungsbereichs der Ausnahmeregelung und die Gewährleistung von Schutzmaßnahmen während des gesamten Lebenszyklus.

Der EDSA und der EDSB stimmen dem Ziel der Kommission zu, den für die Verarbeitung Verantwortlichen bei Rechtsmissbrauch durch betroffene Personen Rechtsklarheit zu verschaffen. Sie sind jedoch der Ansicht, dass die Ausübung des Rechts auf Zugang zu anderen Zwecken als dem Schutz personenbezogener Daten kein Element sein sollte, das definiert, was ein Missbrauch ist. In Bezug auf die neue Ausnahmeregelung für Transparenz unterstützen der EDSA und der EDSB die Vereinfachung der Informationsanforderungen und die Verringerung des Verwaltungsaufwands, insbesondere für KMU, schlagen jedoch Klarstellungen vor, um Rechtssicherheit zu gewährleisten und sicherzustellen, dass Einzelpersonen bei Bedarf weiterhin relevante Informationen über ihre Daten erhalten können.

Schließlich sollten die Änderungen an der Bestimmung über die automatisierte individuelle Entscheidungsfindung präzisiert werden, damit diese Änderungen aussagekräftig und rechtlich fundiert sind.

Änderungen der Datenschutzrichtlinie für elektronische Kommunikation

Der EDSA und der EDSB unterstützen nachdrücklich das Ziel, eine Regulierungslösung bereitzustellen, um der Ermüdung der Einwilligung und der Verbreitung von Cookie-Bannern entgegenzuwirken. Dies betrifft beispielsweise die vorgeschlagenen Anforderungen an die Verwendung automatisierter und maschinenlesbarer Hinweise auf die Wahlmöglichkeiten von Einzelpersonen bei der Verarbeitung ihrer Daten. Der Einsatz technischer Mittel kann die Einhaltung der Vorschriften durch die für die Verarbeitung Verantwortlichen vereinfachen und Einzelpersonen dabei unterstützen, ihre Online-Entscheidungen wirksam zu gestalten.

Der EDSA und der EDSB begrüßen auch die begrenzten zusätzlichen Ausnahmen vom allgemeinen Verbot, personenbezogene Daten in den Endgeräten zu speichern oder Zugang zu ihnen zu erhalten, und fordern die beiden gesetzgebenden Organe ferner auf, Anreize für kontextbezogene Werbung anstelle von verhaltensorientierter Werbung zu schaffen, indem sie eine spezifische Ausnahme hinzufügen, die von einigen Garantien umgeben ist.

Der EDSA und der EDSB begrüßen, dass die Datenschutzbehörden mit der Aufsicht über solche Angelegenheiten betraut werden.

Gleichzeitig weisen der EDSA und der EDSB auf die rechtlichen und technischen Schwierigkeiten hin, die sich aus der Koexistenz zweier unterschiedlicher Regelungen für personenbezogene und nicht personenbezogene Daten ergeben. Sie enthalten auch zusätzliche Empfehlungen zur Verbesserung der Rechtssicherheit, zur Minimierung des Risikos und zur Förderung verantwortungsvoller Innovationen.

Änderungen am Daten-Acquis

Der EDSA und der EDSB unterstützen die Vereinfachung des Besitzstands im Bereich der Daten durch die Integration des Daten-Governance-Gesetzes und der Vorschriften der Richtlinie über offene Daten über die Weiterverwendung von Daten und Dokumenten im Besitz öffentlicher Stellen in das Datengesetz.

In Bezug auf den Zugang, der von öffentlichen Stellen zur Weiterverwendung gewährt wird, empfehlen sie, die Klarheit des derzeitigen Rechtsrahmens zu wahren, nämlich dass er öffentliche Stellen nicht verpflichtet, die Weiterverwendung zuzulassen, und auch keine Rechtsgrundlage für die Gewährung des Zugangs bietet.

In Bezug auf öffentliche Notfälle empfehlen der EDSA und der EDSB zu bekräftigen, dass personenbezogene Daten nur in pseudonymisierter Form an öffentliche Stellen weitergegeben werden dürfen, wenn anonyme Daten nicht ausreichen, um auf den öffentlichen Notfall zu reagieren.

In Bezug auf Datenvermittlungsdienste und datenaltruistische Organisationen betonen der EDSA und der EDSB, wie wichtig ein vertrauenswürdiger und verantwortungsvoller Datenaustausch ist. Sie empfehlen die Beibehaltung spezifischer Schutzvorkehrungen, um Transparenz und Aufsicht zu fördern.

Der EDSA und der EDSB empfehlen, die Bestimmungen über die Durchsetzung weiter zu straffen (z. B. durch die Ermöglichung eines regulierungsübergreifenden Austauschs von Informationen über die Durchsetzung, auch mit Datenschutzbehörden, und durch die Klärung der Rolle der Datenschutzbehörden bei der Durchsetzung des Datengesetzes).

Der EDSA und der EDSB begrüßen die Bestätigung der Rolle des Europäischen Dateninnovationsrats (EDIB) bei der Unterstützung der kohärenten Anwendung des Datengesetzes durch den Vorschlag. In Bezug auf die Ausarbeitung von Leitlinien empfehlen sie, die Kommission zu ermächtigen, Leitlinien zu allen Themen im Zusammenhang mit dem Datengesetz herauszugeben, und die Rolle des EDIB bei der Unterstützung der Kommission in diesem Prozess zu präzisieren. Dies würde es der Kommission ermöglichen, gemeinsame Leitlinien mit dem EDSA auszuarbeiten, und es dem EDIB ermöglichen, die Kommission bei der Ausarbeitung solcher Leitlinien zu beraten und zu unterstützen.

Link zur Pressemeldung: